#记一次对某违法网站的渗透纪实

端口情况只开放了常见的80端口,发现是西部数码主机,主机商自带的cdn,兼具这一些waf的功能。

通过社工的手段拿到了一个前台的账户密码:

`user:18888xxxxxx`

`pass:xxxxxx`

登录之,测试了一些常见的输入点,发现了一个bool型的盲注。

这里只拦截了空格+and 、空格加or、sleep等一些函数,有一些危险的的mysql函数都没有拦截。

这里用sqlmap直接使用自带的tamper就能执行很多sql语句,如果要执行一些被拦截的语句,那么使用/*%0a*/之类的内联方式进行绕过,详细方法参考网上的waf如何绕过进行灵活的构造。

利用注入点对基本的权限进行探测和信息的进一步收集,得到如下结论:

1、当前用户低权限,非root用户

2、不能堆叠注入,进行update等修改数据库的操作。

3、权限的问题导致了无法使用load_file等函数。

说到这里用sqlmap碰到的坑,当一个注入点满足两个注入类型的时候,sqlmap默认会以后面的那种方式进行注入。

由于我为了过前面的那个waf的拦截自己写了tamper,所以绕过了它的过滤规则,直接使用时间盲注去跑。非常的慢。

后面朋友给了两个建议:

1、删除.output文件夹里面对应的host文件夹,然后直接用普通的tamper就不会触发time-based blind sqli。

2、在本地搭建一个测试站点,也是基于bool型的。右键打开.output文件夹里面对应的host文件夹里面的seesion文件,修改注入点。(后面发现这个方法只适合旧版本的sqlmap,新版的sqlmap的session文件成为了sqllite格式了,并且做了加密)

或者嫌弃sqlmap fuzz了太多无用的payload就写个脚本吧。

言归正传利用如此低的权限只能往破解管理员的hash再找后台这一条路走了,顺便了解数据库的结构,了解网站的业务逻辑。

得到当前库:

得到管理员的hash:

运气真不好,不是正常玩意儿(md5)。怀疑是aes或者rc4的加密。

也有一些奇葩的开发会把aeskey放在数据库中,但一般是写死在程序中。

翻了翻发现aeskey确实存在数据库,但也是加密的。。。。

翻了翻网站,用burp自带的爬虫功能获取到了一些目录信息,判断是由Thinkphp进行二次开发的。

很容易就找到后台地址:/admin.php/Home/Login

同时发现了后台登录是有日志记录的,应该是记录ip地址吧。看这个字段,drrz(登入日志)

这里需要留意心眼,哪怕上了代理也不要贸然登入,除非你有足够的把握拿到shell,不然很容易惊动管理员的。

然后那串醉醉的加密也让我很是无语,让几个擅长ctf的朋友看都没有解密出来。

继续翻看看有无有用的信息,翻翻后台。看看后台的请求逻辑。

发现了有用的注释,既然是tp二次开发的,那么是不是也是也有人用这套框架,或者基于被人的框架改成这个站点的源码?

来到了只有你想不到的,没有你搜不到的gayhub翻转,看能不能找到源码,进行分析。

随便点击一个链接去看,将源码下载下来分析。

下载下来的这套源码有plupload这个文件夹,我访问站点发现确实存在这个目录。

为了确认我的猜测,我又对应访问了几个目录均存在。我确定这套源码应该和原来站点的所差不及了。

进行分析,发现他的加密方式是rc4,key是 default_key,成功解密,不过解密了也不敢登录...记录ip。

继续翻代码,看看是否有其它利用的地方,最终发现了一个写配置文件的接口存在着任意文件写入漏洞...

不过这个利用点只能利用一次,一旦写入成功那么,就无法再次利用了。

手心揣着汗,想起了当年配置文件插一句话把人家网站插死了..

现在本地进行了测试,保证无误。

看这个接口应该没有被利用过,运气也是相当重要的。

成功getshell,由于自带的wts waf对一些敏感的函数进行拦截,菜刀直接连接失败,在本地搭建环境,利用脚本进行转发。

内网就算了,这个东西没有什么内网,接下来可以获取受害人的信息,获取管理信息。

没什么大的亮点的一次渗透,主要是一些小技巧的使用。还有就是gayhub是好东西,没事多上去搞基。

给您拜个早年了~

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2018-05-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

技术揭秘“QQ空间”自动转发不良信息

大家经常会看到QQ空间自动转发一些附带链接的不良信息,即便我们的QQ密码并没有被盗取。 最近通过对一个QQ空间自动转发链接进行分析,发现该自动转发机制通过利用腾...

52790
来自专栏安恒网络空间安全讲武堂

一种 Au3 远控木马变种样本分析

一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化...

41770
来自专栏Janti

记一次内存溢出的分析经历——thrift带给我的痛orz

说在前面的话 朋友,你经历过部署好的服务突然内存溢出吗? 你经历过没有看过Java虚拟机,来解决内存溢出的痛苦吗? 你经历过一个BUG,百思不得其解,头发一根一...

55180
来自专栏大宽宽的碎碎念

聊聊BIO,NIO和AIO (1)到底什么是“IO Block”BIONIOIO多路复用用epoll实现的IO多路复用epoll的优势水平触发和边沿触发再来思考一下什么是“Block”总结

66580
来自专栏喔家ArchiSelf

嵌入式Linux的网络连接管理

连接管理器(ConnMan)是一个连接管理守护进程 , 用于管理运行 Linux 操作系统中设备的互联网连接。 它以快速、连贯、同步的方式对不断变化的网络条件提...

44320
来自专栏coding

django2实战5.创建表单及发送邮件测试邮件发送创建表单页面业务逻辑搭建新建分享页面模板详情页添加分享入口结果展示

本篇要实现这样的功能:在文章详情页增加分享文章的入口,点击后跳到分享页面,提交要发送的email地址,程序将发送邮件到相应邮箱,邮件内容是文章的链接地址。

13120
来自专栏前端小吉米

HTTP2即未来

19830
来自专栏格子的个人博客

Tomcat目录文件列表功能和定制化

先说一下背景。 某天,产品小伙伴过来提了一个需求:能不能把公司的需求文档以列表的方式展示出来,当开发者需要哪个的时候,自己在目录中寻找并点击进入(需要哪个点哪...

34630
来自专栏linux驱动个人学习

Android external扩展工程

30840
来自专栏安恒信息

安全漏洞公告

Apache Roller OGNL表达式注入远程代码执行漏洞发布时间:2013-11-27漏洞编号:BUGTRAQ ID: 63928 CVE(CAN...

34260

扫码关注云+社区

领取腾讯云代金券